Die International Organization for Standardization (ISO) hat über die letzten Jahre die ISO 31000- Familie als Top-Level Norm für die Regulierung von Risikomanagementprozessen entwickelt. Das Aachener Steinbeis-Transferzentrum Risikomanagement bringt das Konzept der Norm als neuartige unternehmerische Norm und die zukünftigen Anforderungen des Unternehmens an Risikomanagement in Form eines „Risikomanagements ohne Risikomanagementsystem“ zusammen.
Die ISO 31000 Norm, die im Spätherbst 2009 in Kraft gesetzt wird, ist keine Anforderungsnorm sondern eine Leitfadennorm, die explizit nicht für eine Zertifizierung bestimmt ist. Sie gibt Empfehlungen für einen generischen Rahmen für alle Risikomanagementaktivitäten im Unternehmen. Dazu gehören ein generischer Risikomanagementprozess, ein Werkzeugkasten und ein Vokabular. Spezifische Risikomanagementaktivitäten können durchaus zertifiziert werden, falls erforderlich.
Die ISO 31000 ist eine neuere Art von Norm - eine „unternehmerische Norm“: Es steht dem Unternehmen frei, ob und wie es diese Norm nutzt. Es entscheidet nach seinen individuellen Kriterien über Beachtung und Umsetzung von ISO 31000. Der Nutzen liegt in Impulsen für die strategischen und operativen Bereiche des Unternehmens.
Unternehmen betreiben Risikomanagement auf der Grundlage spezifischer Anforderungen oft als isolierte Systeme, beispielsweise im Bereich Finanzen oder für bestimmte Produkte. Sie wollen meistens kein ressourcen- und kostenaufwendiges System für ein unternehmensweites Risikomanagement sondern bevorzugen mehr Eigenbewertung und weniger Fremdzertifizierung ihres Managements.
Das Steinbeis-Transferzentrum Risikomanagement baut sein „Risikomanagement ohne Risikomanagementsystem“ auf der Definition von Risiko aus der ISO 31000 als „Wirkung von Ungewissheit auf Ziele“. Eine solche Auffassung von Risiko liefert das Konzept zur Integration des Risikomanagements in das Zielmanagement des Unternehmens. So werden alle Risiken den Zielen des Unternehmens zugeordnet. Ziele und die zugehörigen Risiken sind nicht nur finanzieller und materieller, sondern auch strategischer Art. Dieses Konzept legt die Umsetzung des Risikomanagements in einem Zielmanagement mit einer Balanced Scorecard nahe.
Basierend darauf bietet das Steinbeis- Transferzentrum Risikomanagement mehrere Dienstleistungen zu der neuen Risikomanagementnorm ISO 31000 an, unter anderem die Beratung und Umsetzung für Unternehmen und Organisationen aller Art, Fort- und Ausbildung sowie Publikationen.
Die ISO 31000 Norm wird aus Sicht der Steinbeis-Experten das Verständnis von Risiko und Chance in Unternehmen auf einen wichtigen Punkt bringen: Die Sicherstellung des Erreichens der Ziele des Unternehmens und die Sicherung der hinter den Zielen stehenden Werte. Die Norm wird helfen, die Spezialisierung und Fragmentierung des Risikomanagements in Unternehmen zu überwinden. Sie bietet einen Rahmen für Risiken und Anforderungen aller Art an das entsprechende Risikomanagement. Durch die Einheit von Ziel und Risiken ist die Verantwortung für Risiken festgelegt. Mit der Norm wird es für Unternehmen einfacher werden, für Kunden und andere Anspruchsgruppen ihr Risikomanagement transparent darzustellen. Durch die Ziel- und Prozessorientierung wird eine Integration im Unternehmen nahegelegt, die den optimalen Nutzen der Norm bringt.